1. Субъект персональных данных имеет право на получение сведений, указанных в части 7 настоящей статьи, за исключением случаев, предусмотренных частью 8 настоящей статьи. Субъект персональных данных вправе требовать от оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.
2. Сведения, указанные в части 7 настоящей статьи, должны быть предоставлены субъекту персональных данных оператором в доступной форме, и в них не должны содержаться персональные данные, относящиеся к другим субъектам персональных данных, за исключением случаев, если имеются законные основания для раскрытия таких персональных данных.
3. Сведения, указанные в части 7 настоящей статьи, предоставляются субъекту персональных данных или его представителю оператором в течение десяти рабочих дней с момента обращения либо получения оператором запроса субъекта персональных данных или его представителя. Указанный срок может быть продлен, но не более чем на пять рабочих дней в случае направления оператором в адрес субъекта персональных данных мотивированного уведомления с указанием причин продления срока предоставления запрашиваемой информации. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных или его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством Российской Федерации. Оператор предоставляет сведения, указанные в части 7 настоящей статьи, субъекту персональных данных или его представителю в той форме, в которой направлены соответствующие обращение либо запрос, если иное не указано в обращении или запросе.
4. В случае, если сведения, указанные в части 7 настоящей статьи, а также обрабатываемые персональные данные были предоставлены для ознакомления субъекту персональных данных по его запросу, субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, и ознакомления с такими персональными данными не ранее чем через тридцать дней после первоначального обращения или направления первоначального запроса, если более короткий срок не установлен федеральным законом, принятым в соответствии с ним нормативным правовым актом или договором, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных.
5. Субъект персональных данных вправе обратиться повторно к оператору или направить ему повторный запрос в целях получения сведений, указанных в части 7 настоящей статьи, а также в целях ознакомления с обрабатываемыми персональными данными до истечения срока, указанного в части 4 настоящей статьи, в случае, если такие сведения и (или) обрабатываемые персональные данные не были предоставлены ему для ознакомления в полном объеме по результатам рассмотрения первоначального обращения. Повторный запрос наряду со сведениями, указанными в части 3 настоящей статьи, должен содержать обоснование направления повторного запроса.
6. Оператор вправе отказать субъекту персональных данных в выполнении повторного запроса, не соответствующего условиям, предусмотренным частями 4 и 5 настоящей статьи. Такой отказ должен быть мотивированным. Обязанность представления доказательств обоснованности отказа в выполнении повторного запроса лежит на операторе.
7. Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
1) подтверждение факта обработки персональных данных оператором;
2) правовые основания и цели обработки персональных данных;
3) цели и применяемые оператором способы обработки персональных данных;
4) наименование и место нахождения оператора, сведения о лицах (за исключением работников оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
5) обрабатываемые персональные данные, относящиеся к соответствующему субъекту персональных данных, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
6) сроки обработки персональных данных, в том числе сроки их хранения;
7) порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
8) информацию об осуществленной или о предполагаемой трансграничной передаче данных;
9) наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу;
9.1) информацию о способах исполнения оператором обязанностей, установленных статьей 18.1 настоящего Федерального закона;
10) иные сведения, предусмотренные настоящим Федеральным законом или другими федеральными законами.
8. Право субъекта персональных данных на доступ к его персональным данным может быть ограничено в соответствии с федеральными законами, в том числе если:
1) обработка персональных данных, включая персональные данные, полученные в результате оперативно-разыскной, контрразведывательной и разведывательной деятельности, осуществляется в целях обороны страны, безопасности государства и охраны правопорядка;
2) обработка персональных данных осуществляется органами, осуществившими задержание субъекта персональных данных по подозрению в совершении преступления, либо предъявившими субъекту персональных данных обвинение по уголовному делу, либо применившими к субъекту персональных данных меру пресечения до предъявления обвинения, за исключением предусмотренных уголовно-процессуальным законодательством Российской Федерации случаев, если допускается ознакомление подозреваемого или обвиняемого с такими персональными данными;
3) обработка персональных данных осуществляется в соответствии с законодательством о противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма;
4) доступ субъекта персональных данных к его персональным данным нарушает права и законные интересы третьих лиц;
5) обработка персональных данных осуществляется в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в целях обеспечения устойчивого и безопасного функционирования транспортного комплекса, защиты интересов личности, общества и государства в сфере транспортного комплекса от актов незаконного вмешательства.
Комментарии к статье 14 152-ФЗ О персональных данных:
1. Часть 1 комментируемой статьи содержит нормативную формулу юридической конструкции права субъекта персональных данных на доступ к его персональным данным, состоящего из комплекса определенных правомочий.
В состав правомочий субъекта персональных данных входят:
- право на получение сведений;
- право требовать от оператора уточнения его персональных данных;
- право блокировать свои персональные данные;
- право уничтожить свои персональные данные в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
- право принимать предусмотренные законом меры по защите своих прав.
Права субъекта ограничены правами других лиц, в частности в случаях, предусмотренных ч. 8 комментируемой статьи. Права субъекта персональных данных являются производными от права человека на жизнь и права на информацию. В отдельных контекстах в информационной сфере в зависимости от конструкции конкретных правоотношений права субъекта персональных данных можно рассматривать как производную часть или как составную часть от права на информацию. Такое понимание природы представляется современным, соответствующим всем основным тенденциям науки информационного права. Вместе с тем можно предположить наличие иных подходов к пониманию природы прав субъекта персональных данных.
Некоторые исследователи позиционируют себя сторонниками отраслевой природы прав субъектов персональных данных. Так, А.В. Дворецкий формулирует право персональных данных из двух основных правомочий: право субъекта знать собственные персональные данные, собранные работодателем, и право таить от иных лиц содержание сведений, составляющих персональные данные. Автор не выходит за рамки трудового права и предлагает закрепить разработанные положения и принципы защиты персональных данных в ТК РФ. Другой автор, Л.К. Терещенко, ссылаясь на международные акты, отмечает, что право на неприкосновенность частной жизни и, как следствие, право на защиту персональных данных - это права относительные, а не абсолютные. При этом автор признает наличие тенденции рассматривать защиту персональных данных как самостоятельное право гражданина, т.е. отдельно от более широкого права на уважение частной и семейной жизни. Другое обстоятельство, подчеркнутое автором, - это отсутствие баланса интересов, закрепленных в комментируемом Законе.
Весьма основательным представляется исследование М.Н. Малеиной, которая представила аргументированное мнение по различным аспектам тайны персональных данных как объекта правового регулирования и субъективного права самого субъекта. В частности, она предлагает рассматривать тайну частной жизни как общую родовую категорию, включающую профессиональные и непрофессиональные тайны; тайна персональных данных - одна из видов тайн. Дискутируя с В.Б. Наумовым, она относит к персональным данным также сведения о сетевой активности субъекта. Основываясь на положениях комментируемого Закона о возможности исключения персональных данных из общедоступных источников персональных данных по требованию субъекта, М.Н. Малеина утверждает, что доминирующим является режим тайны персональных данных, а исключения составляют режим общедоступности персональных данных и режим государственной тайны.
2. Часть 2 комментируемой статьи содержит процедурную норму, которой определяется форма представления персональных данных субъекту-заявителю. В комментируемой статье не раскрывается термин "доступная форма". Вместе с тем общие требования к порядку рассмотрения обращений граждан обусловливают порядок, в соответствии с которым ответ необходимо формировать в той же форме, в какой получен запрос, если иное не предусмотрено законодательством или не указано в обращении заявителя. Готовность получить ответ в форме электронного сообщения, письма, или короткого текстового сообщения, или сообщения в социальной сети должна быть обозначена в запросе. Если отправитель прямо указал, в какой форме он готов получить ответ, и эта форма не совпадает с первичным отправлением, возникает дилемма: отправить ответ в формате полученного письма обращения либо отправить ответ в соответствии с требованием заявителя. Запрос лицом персональных данных для представления их третьему лицу (например, запрос о сроках трудовой занятости или сроках прохождения службы для оформления пенсии) может иметь определенные временные ограничения. Соответственно, пересылка заявителю двух экземпляров документа для дальнейшей пересылки необходимого самим субъектом по назначению есть действие не рациональное, а в отдельных случаях - просто вредное. Например, пожилой человек может оформить запрос с помощью родственника, который не сможет проконтролировать ответ и дальнейшую пересылку запрошенного документа. Дать однозначный ответ для всех случаев невозможно. Отправка ответа в каждый адрес также может быть ошибочной. Вероятно, необходимо сделать краткий анализ ситуации с участием штатного специалиста в области права (юрисконсульта). Ориентиром должна быть оценка сведений, которые предполагаются к отправке. Другое требование, изложенное в комментируемой части, - отсутствие дополнительных персональных данных, относящихся к другим субъектам. Это логичное требование, которое согласуется с общим правилом предоставления персональных данных только их субъекту. Исключения из данного правила также обусловлены законом. Логично предположить, что исключения возможны в отдельных весьма специфичных сферах, например в сфере семейных отношений (получение сведений родителем о ребенке и т.д.).
3. Часть 3 комментируемой статьи содержит процедурную норму, которая включает основные способы подачи и удовлетворения запроса субъекта персональных данных. Субъект может обратиться лично либо через представителя, таким образом, ограничен субъектный состав. Это представляется логичным, поскольку не все субъекты персональных данным обладают полной правоспособностью (например, дети или иные лица в предусмотренных законом случаях), соответственно, реализация их права предусмотрена с помощью представителя. Специально законом не предусмотрено, но есть основания полагать, что данный субъектный состав соответствует и всем способам (в техническом отношении) подачи и получения запроса, а именно путем обращения (надо полагать, личного обращения, поскольку иное в законе не указано), путем подачи заявления (документальный запрос), путем подачи заявления в форме электронного документа (электронный запрос). Обращение в электронном виде требует наличия электронной подписи. В комментируемой статье не уточняется, каким именно из трех видов (простая, квалифицированная, усиленная) электронной подписи в соответствии с действующим законодательством об электронной подписи должно быть подписано обращение. Согласно сложившейся практике (приказы, инструкции) государственные органы рекомендуют принимать обращения, подписанные не ниже чем квалифицированной электронной подписью.
4. Часть 4 комментируемой статьи содержит норму, которая предусматривает право на повторное обращение к оператору персональных данных в срок не ранее чем через тридцать дней. Это минимальный срок между обращениями субъекта к оператору по поводу его (субъекта) персональных данных. Вероятно, не требует объяснения тот факт, что время, необходимое для подготовки письменного (печатного) ответа, значительно превышает время для подготовки такого же ответа в электронной форме и срок не менее тридцати дней обусловлен именно временем для подготовки письменного (печатного) ответа. В течение предусмотренного срока оператором могут быть выполнены мероприятия по устранению нарушений в порядке обработки персональных данных, что, вероятно, и является причиной предусмотренного повторного обращения. В связи с ожидаемым в 2013 - 2018 годах переходом государственных органов на электронный документооборот (см. Государственную программу РФ "Информационное общество (2011 - 2020 годы)", утвержденную распоряжением Правительства РФ от 20.10.2010 N 1815-р), логично предположить, что срок повторного обращения может быть изменен. Соответственно, переход на электронный документооборот позволит реагировать на обращения в более короткие сроки. Возможность такой ситуации предусмотрена нормой, закрепленной в комментируемой части статьи. Изменение сроков на договорной основе является дозволением для участников гражданских правоотношений ввести иные сроки по усмотрению сторон. Законодательство не ограничивает субъектов предпринимательской деятельности в правах использовать электронные формы документооборота, что позволяет реализовать отношения в очень короткие сроки, логично, что сроки повторного обращения в таких случаях могут быть значительно сокращены.
5. Часть 5 комментируемой статьи содержит норму, согласно которой субъект персональных данных вправе обратиться к оператору повторно. Повторный запрос по существу носит уточняющий характер. Норма содержит условие, при котором правомерность повторного запроса считается обоснованной, а именно при неполноте полученных в ответе на первоначальный запрос сведений. Норма о праве повторного запроса, кроме материальной правовой составляющей, содержит отдельные процедурные требования к запросу, а именно требование обосновать направление повторного запроса. Таким образом, закрепленная в ч. 5 комментируемой статьи норма содержит материально-правовые и процессуальные условия, направленные на обеспечение полноты прав субъекта персональных данных в части обеспечения его сведениями о том, в каком объеме оператор производит обработку данных.
6. Часть 6 комментируемой статьи содержит смешанную норму материально-правового и процессуального характера. Норма закрепляет частный случай в комплексе отношений оператора и субъекта персональных данных - это право оператора персональных данных на защиту от необоснованных запросов, которые не соответствуют требованиям, изложенным в ч. ч. 4 и 5 комментируемой статьи. Право оператора соответствует его же обязанности обосновать причину отказа, т.е. самостоятельно представить аргументы, на основании которых оператор отказывает удовлетворить повторный запрос.
7. Часть 7 комментируемой статьи можно рассматривать через призму международных норм европейского права о защите персональных данных, тем более что Россия является участником многих соглашений по данному вопросу.
В отношении большинства положений ч. 7 комментируемой статьи действует общее правило, введенное Директивой 95/46/EC, которое предусматривает минимальный объем требуемых сведений, т.е. минимальный уровень, ниже которого национальный законодатель (в том числе российский) не должен опускаться.
В целом сведения можно условно классифицировать следующим образом:
- информация об операторе и доверенных лицах;
- цели обработки;
- объем сведений и порядок сбора.
В пределах юрисдикции каждое государство устанавливает необходимый объем требований по раскрытию субъекту сведений об операторе и объемах обработки данных. Так, в частности, требования о предоставлении сведений об операторе и/или его представителе (п. "a" ст. 10 Директивы 95/46/EC) практически полностью соответствуют тем требованиям, которые изложены в ч. 7 комментируемой статьи. Можно также отметить более высокую степень детализации требований в комментируемой статье по сравнению с требованиями ст. 10 Директивы 95/46/EC. Практически полностью соответствуют друг другу нормы о целях обработки персональных данных. Более широко в Директиве 95/46/EC представлены требования о порядке сбора персональных данных. Так, в частности, к другой информации, которая должна быть предоставлена по требованию субъекта персональных данных, относятся сведения о добровольности/обязательности представления персональных данных и последствиях отсутствия персональных данных. Комментируемый Закон не содержит полного, исчерпывающего ответа на данный вопрос, но судебная практика формирует подходы к данной проблеме, которые в будущем, возможно, будут оформлены в качестве норм.
Пример: Советский районный суд по делу (Областной наркологический диспансер против прокуратуры) о нарушении законодательства о персональных данных вынес решение об отказе в удовлетворении заявления о признании законным требования дополнительных данных. В ходе рассмотрения дела было установлено, что Областной наркологический диспансер требовал от клиентов избыточные персональные данные по отношению к заявленным целям их обработки. На требования надзорного органа - Роскомнадзора устранить нарушение диспансер реагировал неадекватно, нарушение не устранил. Представление прокуратуры об устранении нарушения законодательства диспансер не исполнил и обратился в суд с жалобой. Суд, исследовав все материалы, принял решение о признании представления об устранении нарушений законодательства о персональных данных по жалобе клиента законным, в удовлетворении жалобы Областного наркологического диспансера отказал (см. решение Советского районного суда г. Астрахани от 13.08.2012 по делу N 2-2739/2012).
8. Часть 8 комментируемой статьи содержит норму, которая предусматривает, что право субъекта персональных данных на доступ к его персональным данным может быть ограничено на основании федерального закона. Данное ограничение носит преимущественно характер исключения из общего правила - права субъекта персональных данных на доступ к его персональным данным. Ограничение также можно рассматривать как предел (границу, край) права субъекта персональных данных на доступ к его персональным данным. Данная конструкция более применима к характеристике п. 4 ч. 8 комментируемой статьи. Пределом в этом случае является право иного лица - субъекта персональных данных - на доступ к его персональным данным. Разбор и исследование теоретических конструкций, заложенных в комментируемой статье Закона, могут в отдельных случаях провоцировать непонимание. Тем не менее они имеют сугубо практическое значение. Например, подготовка локальных актов (положений, приказов, инструкций, иных документов), регулирующих отношения по поводу персональных данных, невозможна без учета всех положений комментируемого Закона и иных федеральных законов в сфере оборота персональных данных. Часть 8 комментируемой статьи содержит также сведения о специальных нормах, закрепленных соответствующими нормативными актами, которыми права субъекта персональных данных могут быть ограничены.
Ограничения прав субъекта персональных данных возможны в случаях, предусмотренных законодательством Российской Федерации об оперативно-розыскной деятельности. В соответствии со ст. ст. 6, 8 - 12 Федерального закона от 12.08.1995 N 144-ФЗ оперативно-розыскные мероприятия осуществляются в формах, предусмотренных законом. Процедура, порядок документирования и проверки оперативно-розыскных мероприятий строго регламентированы. Ограничение прав субъектов персональных данных возможно также в связи с реализаций отдельных разведывательных и контрразведывательных мероприятий, предусмотренных ст. ст. 8, 17 - 23 Федерального закона от 10.01.1996 N 5-ФЗ "О внешней разведке". В соответствии со ст. 11 Федерального закона от 06.03.2006 N 35-ФЗ правовой режим контртеррористической операции предполагает введение ряда ограничений, которые касаются в том числе персональных данных. Например, в целях пресечения и раскрытия террористического акта, минимизации его последствий и защиты жизненно важных интересов личности, общества и государства на территории, в пределах которой введен правовой режим контртеррористической операции, допускаются: проверка у физических лиц документов, удостоверяющих их личность, а в случае отсутствия таких документов - доставление указанных лиц в органы внутренних дел Российской Федерации (иные компетентные органы) для установления личности; проведение досмотра физических лиц и находящихся при них вещей. В соответствии с отдельными нормами в области обеспечения безопасности Федерального закона от 28.12.2010 N 390-ФЗ Президент Российской Федерации имеет полномочия по принятию мер по защите граждан от преступных и иных противоправных действий. Полномочия перечисленных субъектов реализуются в рамках рассмотренного законодательства без согласия субъектов персональных данных с ограничением отдельных прав.
В связи с мероприятиями по противодействию коррупции в случаях, предусмотренных Федеральным законом от 25.12.2008 N 273-ФЗ и Федеральным законом от 03.12.2012 N 230-ФЗ, возможны ограничения прав субъектов персональных данных (см. также комментарий к ст. 11).
Ограничение прав субъекта возможно в случаях, предусмотренных законодательством Российской Федерации о транспортной безопасности, в том числе отдельными положениями Федерального закона от 09.02.2007 N 16-ФЗ. Одной из функций транспортной информационной системы является обеспечение безопасности перевозок, в том числе путем передачи данных, содержащихся в проездных документах (билетах), в автоматизированные централизованные базы персональных данных о пассажирах в соответствии с комментируемым Законом. Ограничение возможно также в связи с реализацией ст. ст. 85.1, 103, 105 ВК РФ.
Современные представления о защите персональных данных в Европе необходимо соотносить с последними из принятых документов. Одним из таких является Резолюция Европейского парламента от 06.07.2011 о комплексном подходе к защите персональных данных в Европейском союзе (2011/2025 (INI)) (подробнее см. комментарий к ст. 9).
Амелин Р.В., Богатырева Н.В., Волков Ю.В., Марченко Ю.А., Федосин А.С.
Год издания: 2013